自从2021年9月1日《中华人民共和国数据安全法》正式施行以来,企业对数据合规的重视程度逐年上升。不少企业负责人问得最多的问题是:数据安全法到底要求企业做什么?哪些是必须做的硬性义务?不做的后果是什么?这篇文章把数据安全法对企业提出的合规义务整理成一份清晰的清单,帮助企业逐条对照落实。
数据安全法构建了以数据分类分级保护制度为核心的企业合规框架。企业不能把所有数据一视同仁地管理,而是需要根据数据的重要程度、敏感程度和可能造成的危害程度,对数据进行分类分级,并采取相应的保护措施。这是数据安全法给企业布置的第一道必答题。对大多数企业来说,可以先从梳理自身业务涉及的数据类型开始,区分一般业务数据、客户信息、技术数据和经营管理数据等大类,再根据数据泄露后可能造成的损失确定保护等级。
数据安全法要求企业建立全流程数据安全管理制度。这不是一句空话,而是要求企业成立数据安全负责人和归口管理部门,制定覆盖数据收集、存储、使用、加工、传输、提供和公开等各个环节的操作规范。企业应当把数据安全管理制度写入内部规章,明确各部门和岗位的数据安全责任,定期开展数据安全教育和培训。从实操角度看,中小企业可以先从数据安全管理办法和员工数据安全手册这两个文件入手。
数据安全法明确要求企业采取必要的数据安全技术措施。制度只是第一步,没有技术手段支撑的合规是纸上谈兵。企业应当根据数据分类分级的结果,部署相应的技术防护手段,包括但不限于访问控制、身份认证、数据加密、数据脱敏、备份恢复和日志审计等。对于处理重要数据的企业,还应当设置专门的数据安全管理岗位,建立数据安全检测预警和应急响应机制。
数据安全法规定了数据安全风险评估制度。企业应当按照国家有关规定,定期对数据处理活动开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类和数量、开展数据处理活动情况、数据安全风险及应对措施等内容。对于一般企业,建议每年至少开展一次全面的数据安全风险评估。
数据安全法对数据交易提出了明确要求。从事数据交易中介服务的机构,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核交易记录。普通企业在采购第三方数据或对外提供数据时,也需要核实数据来源的合法性,避免使用了非法获取的数据。
数据安全法设定了严格的数据安全审查和出口管制条款。影响或可能影响国家安全的数据处理活动,应当接受国家安全审查。对属于管制物项的数据依法实施出口管制。企业在涉及跨境数据流动时,需要格外谨慎,建议咨询专业机构评估数据处理活动是否触发审查条件。
数据安全法规定了严格的法律责任。企业不履行数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款。对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款。拒不改正的,较高可处二百万元罚款,并可以责令暂停相关业务、停业整顿,甚至吊销相关业务许可证或营业执照。构成犯罪的,依法追究刑事责任。
从2021年施行至今,全国各地已经出现了多起依据数据安全法进行处罚的执法案例,执法力度逐年趋严。企业不能等到被处罚了才开始重视数据合规,而是应该从现在开始,逐条对照数据安全法的要求,建立适合自己的数据安全管理体系。对于缺乏专业数据安全团队的中小企业,可以考虑借助外部专业机构的力量,开展数据安全评估、制度建设和技术部署工作。
数据安全合规不是一次性工程,而是一个持续改进的过程。随着企业业务的发展和外部法律环境的变化,数据安全管理制度也需要不断更新和完善。把数据安全法要求的各项义务真正落实到位,既是对法律的遵守,也是对企业自身和客户负责的表现。
常见问题
Q1:中小企业也需要遵守数据安全法吗? A:是的。数据安全法适用于所有在中国境内开展数据活动的组织和个人,不区分企业规模。中小企业可以采取与自身风险相适应的简化合规方案。
Q2:数据分类分级具体怎么做? A:建议企业先梳理所有数据资产,然后按照行业主管部门的指引(如工信领域数据安全管理办法)进行分类分级。一般分为一般数据、重要数据和核心数据三级。
Q3:没有数据安全团队的企业如何合规? A:可以通过任命专门的数据安全负责人、聘请外部合规顾问、使用合规SaaS工具等方式实现合规,不必一步到位建立完整团队。
Q4:数据安全风险评估多久做一次? A:一般企业建议每年至少一次。处理重要数据的企业或面临高业务风险的行业,建议每半年一次。
